金融行業(yè)保密管理辦法

金融行業(yè)保密管理辦法?一、總則（一）目的為加強金融行業(yè)的保密管理，維護金融市場的穩(wěn)定、保護客戶的合法權(quán)益以及保障金融機構(gòu)的商業(yè)利益，根據(jù)《中華人民共和國保守國家秘密法》《中華人民共和國商業(yè)銀行法》《中華人民共和國證券法》等相關(guān)法律法規(guī)，結(jié)合金融行業(yè)的特點和實際情況，特制定本保密管理辦法。（二）適用范圍本辦法適用于在中華人民共和國境內(nèi)依法設(shè)立的各類金融機構(gòu)，包括但不限于銀行、證券、保險、信托、基金等金融企業(yè)及其分支機構(gòu)，以及從事金融服務(wù)的相關(guān)中介機構(gòu)。（三）保密原則金融機構(gòu)的保密工作應(yīng)遵循積極防范、突出重點、依法管理的原則，既確保國家秘密和商業(yè)秘密的安全，又便利信息資源的合理利用。二、保密管理機構(gòu)與職責（一）保密管理委員會金融機構(gòu)應(yīng)設(shè)立保密管理委員會，作為保密工作的決策機構(gòu)。保密管理委員會由金融機構(gòu)的高級管理人員組成，主任由金融機構(gòu)的主要負責人擔任。其主要職責包括：1.貫徹執(zhí)行國家有關(guān)保密工作的法律法規(guī)和方針政策，制定本機構(gòu)的保密工作規(guī)劃和年度計劃。2.審定本機構(gòu)的保密規(guī)章制度，并監(jiān)督其執(zhí)行情況。3.研究解決保密工作中的重大問題，協(xié)調(diào)各部門之間的保密工作。4.組織開展保密宣傳教育和培訓(xùn)活動，提高員工的保密意識。5.定期對本機構(gòu)的保密工作進行檢查和評估，提出改進措施。（二）保密工作辦公室保密管理委員會下設(shè)保密工作辦公室，作為保密工作的日常管理機構(gòu)。保密工作辦公室可設(shè)在金融機構(gòu)的綜合管理部門或合規(guī)管理部門，配備專職或兼職的保密工作人員。其主要職責包括：1.組織落實保密管理委員會的各項決策和工作部署，制定保密工作的具體實施方案。2.負責起草、修訂本機構(gòu)的保密規(guī)章制度，并組織實施。3.開展保密宣傳教育和培訓(xùn)工作，組織保密知識考試和競賽。4.對本機構(gòu)的保密工作進行日常檢查和監(jiān)督，發(fā)現(xiàn)問題及時提出整改意見，并跟蹤整改情況。5.負責保密事項的審核、審批和備案工作，管理保密文件和資料。6.組織開展保密技術(shù)防范工作，配備必要的保密設(shè)備和設(shè)施。7.處理保密工作中的突發(fā)事件和違規(guī)行為，提出處理意見并報保密管理委員會批準。（三）各部門職責金融機構(gòu)的各部門應(yīng)設(shè)立保密工作聯(lián)絡(luò)員，負責本部門的保密工作。各部門的主要職責包括：1.貫徹執(zhí)行本機構(gòu)的保密規(guī)章制度，制定本部門的保密工作措施。2.組織本部門員工參加保密宣傳教育和培訓(xùn)活動，提高員工的保密意識。3.對本部門產(chǎn)生、使用和保管的保密信息進行管理，確保信息安全。4.配合保密工作辦公室開展保密檢查和監(jiān)督工作，及時整改存在的問題。5.及時向保密工作辦公室報告本部門的保密工作情況和存在的問題。三、保密范圍與密級確定（一）保密范圍金融機構(gòu)的保密范圍包括國家秘密、商業(yè)秘密和客戶信息。具體包括：1.國家秘密：涉及國家經(jīng)濟安全、金融穩(wěn)定等方面的國家秘密事項，按照國家有關(guān)保密法律法規(guī)的規(guī)定確定。2.商業(yè)秘密：金融機構(gòu)在經(jīng)營活動中形成的，不為公眾所知悉、能為金融機構(gòu)帶來經(jīng)濟利益、具有實用性并經(jīng)金融機構(gòu)采取保密措施的技術(shù)信息和經(jīng)營信息，包括但不限于金融產(chǎn)品研發(fā)方案、客戶營銷計劃、財務(wù)數(shù)據(jù)、風險管理策略等。3.客戶信息：金融機構(gòu)在為客戶提供服務(wù)過程中獲取的客戶個人信息和交易信息，包括但不限于客戶的姓名、身份證號碼、聯(lián)系方式、賬戶信息、交易記錄等。（二）密級確定金融機構(gòu)應(yīng)根據(jù)保密信息的重要程度和泄露后可能造成的損害程度，將保密信息分為絕密、機密、秘密三個等級。具體劃分標準如下：1.絕密級：涉及國家核心利益、金融機構(gòu)核心競爭力和客戶重大權(quán)益，泄露后可能導(dǎo)致國家經(jīng)濟安全受到嚴重威脅、金融機構(gòu)遭受重大經(jīng)濟損失或客戶合法權(quán)益受到嚴重侵害的保密信息。2.機密級：涉及國家重要經(jīng)濟利益、金融機構(gòu)重要業(yè)務(wù)和客戶重要權(quán)益，泄露后可能導(dǎo)致國家經(jīng)濟利益受到較大損害、金融機構(gòu)遭受較大經(jīng)濟損失或客戶合法權(quán)益受到較大侵害的保密信息。3.秘密級：涉及國家一般經(jīng)濟利益、金融機構(gòu)一般業(yè)務(wù)和客戶一般權(quán)益，泄露后可能導(dǎo)致國家經(jīng)濟利益受到一定損害、金融機構(gòu)遭受一定經(jīng)濟損失或客戶合法權(quán)益受到一定侵害的保密信息。金融機構(gòu)應(yīng)按照國家有關(guān)保密法律法規(guī)和本機構(gòu)的保密規(guī)章制度，對保密信息進行密級確定，并在保密信息載體上標明密級和保密期限。四、保密信息的管理（一）產(chǎn)生與收集金融機構(gòu)在業(yè)務(wù)活動中產(chǎn)生和收集保密信息時，應(yīng)遵循合法、正當、必要的原則，明確信息收集的目的、方式和范圍，并取得客戶的同意。同時，應(yīng)采取必要的技術(shù)措施和管理措施，確保信息的真實性、準確性和完整性。（二）存儲與保管金融機構(gòu)應(yīng)建立專門的保密信息存儲設(shè)施，如保密檔案室、保密機房等，并配備必要的防火、防盜、防潮、防蟲、防磁等安全設(shè)備。保密信息應(yīng)按照密級分類存儲，實行專人管理。對存儲保密信息的計算機系統(tǒng)和存儲介質(zhì)，應(yīng)采取加密、訪問控制等安全措施，防止信息泄露。（三）使用與共享金融機構(gòu)內(nèi)部使用保密信息時，應(yīng)嚴格按照規(guī)定的權(quán)限和程序進行，確保信息的使用符合保密要求。因業(yè)務(wù)需要確需向外部機構(gòu)或個人提供保密信息的，應(yīng)事先取得客戶的書面同意，并與外部機構(gòu)或個人簽訂保密協(xié)議，明確保密責任和義務(wù)。（四）銷毀金融機構(gòu)對不再需要保存的保密信息，應(yīng)按照規(guī)定的程序進行銷毀。銷毀保密信息時，應(yīng)采用粉碎、焚燒、消磁等方式，確保信息無法恢復(fù)。銷毀過程應(yīng)進行記錄，并由監(jiān)銷人員簽字確認。五、保密制度建設(shè)（一）保密教育制度金融機構(gòu)應(yīng)建立健全保密教育制度，定期組織員工參加保密培訓(xùn)和教育活動。培訓(xùn)內(nèi)容應(yīng)包括國家有關(guān)保密法律法規(guī)、本機構(gòu)的保密規(guī)章制度、保密技術(shù)防范知識等。新員工入職時，應(yīng)進行專門的保密培訓(xùn)，簽訂保密承諾書。（二）保密檢查制度金融機構(gòu)應(yīng)建立定期和不定期的保密檢查制度，對本機構(gòu)的保密工作進行全面檢查。檢查內(nèi)容包括保密制度的執(zhí)行情況、保密信息的管理情況、保密設(shè)備和設(shè)施的運行情況等。對檢查中發(fā)現(xiàn)的問題，應(yīng)及時進行整改，并跟蹤整改情況。（三）保密審查制度金融機構(gòu)在對外發(fā)布信息、開展合作項目、進行信息系統(tǒng)建設(shè)等活動時，應(yīng)進行保密審查，確保不泄露保密信息。保密審查應(yīng)遵循"誰主管、誰負責，誰公開、誰審查"的原則，由相關(guān)部門進行初審，保密工作辦公室進行復(fù)審。（四）保密獎懲制度金融機構(gòu)應(yīng)建立保密獎懲制度，對在保密工作中表現(xiàn)突出的部門和個人給予表彰和獎勵，對違反保密制度的部門和個人給予批評和處罰。處罰措施包括警告、罰款、辭退等，情節(jié)嚴重的，應(yīng)依法追究法律責任。六、保密技術(shù)防范（一）網(wǎng)絡(luò)安全防護金融機構(gòu)應(yīng)建立健全網(wǎng)絡(luò)安全防護體系，采取防火墻、入侵檢測、加密等技術(shù)手段，防止網(wǎng)絡(luò)攻擊和信息泄露。同時，應(yīng)加強對網(wǎng)絡(luò)設(shè)備和系統(tǒng)的管理，定期進行安全漏洞掃描和修復(fù)。（二）數(shù)據(jù)加密金融機構(gòu)應(yīng)對重要的保密信息進行加密處理，采用對稱加密和非對稱加密相結(jié)合的方式，確保信息在傳輸和存儲過程中的安全性。加密密鑰應(yīng)妥善保管，定期更換。（三）身份認證與訪問控制金融機構(gòu)應(yīng)建立嚴格的身份認證和訪問控制制度，對員工和外部人員的訪問權(quán)限進行嚴格管理。采用用戶名、密碼、數(shù)字證書等多種身份認證方式，確保只有授權(quán)人員才能訪問保密信息。（四）移動存儲設(shè)備管理金融機構(gòu)應(yīng)加強對移動存儲設(shè)備的管理，建立移動存儲設(shè)備登記制度，對移動存儲設(shè)備進行統(tǒng)一編號和標識。嚴禁在移動存儲設(shè)備上存儲保密信息，確需使用移動存儲設(shè)備存儲保密信息的，應(yīng)進行加密處理，并嚴格按照規(guī)定的程序進行使用和管理。七、涉密人員管理（一）涉密人員分類金融機構(gòu)應(yīng)根據(jù)接觸和知悉保密信息的程度，將涉密人員分為核心涉密人員、重要涉密人員和一般涉密人員三類。核心涉密人員是指接觸和知悉絕密級保密信息的人員；重要涉密人員是指接觸和知悉機密級保密信息的人員；一般涉密人員是指接觸和知悉秘密級保密信息的人員。（二）涉密人員審查金融機構(gòu)在任用涉密人員前，應(yīng)對其進行嚴格的審查。審查內(nèi)容包括政治素質(zhì)、道德品質(zhì)、工作表現(xiàn)、家庭社會關(guān)系等方面。經(jīng)審查合格的人員，方可從事涉密工作。（三）涉密人員培訓(xùn)金融機構(gòu)應(yīng)定期組織涉密人員參加保密培訓(xùn)，提高涉密人員的保密意識和技能。培訓(xùn)內(nèi)容應(yīng)包括國家有關(guān)保密法律法規(guī)、本機構(gòu)的保密規(guī)章制度、保密技術(shù)防范知識等。（四）涉密人員保密管理金融機構(gòu)應(yīng)與涉密人員簽訂保密協(xié)議，明確涉密人員的保密責任和義務(wù)。對涉密人員的工作崗位、工作內(nèi)容等進行嚴格管理，限制涉密人員的接觸范圍。涉密人員離崗離職時，應(yīng)進行保密教育和提醒，簽訂保密承諾書，并收回其使用的保密設(shè)備和資料。八、應(yīng)急處置（一）應(yīng)急預(yù)案制定金融機構(gòu)應(yīng)制定保密突發(fā)事件應(yīng)急預(yù)案，明確應(yīng)急處置的組織機構(gòu)、職責分工、處置程序和保障措施等。應(yīng)急預(yù)案應(yīng)定期進行演練，確保在發(fā)生保密突發(fā)事件時能夠迅速、有效地進行處置。（二）事件報告與響應(yīng)金融機構(gòu)在發(fā)現(xiàn)保密突發(fā)事件后，應(yīng)立即向保密工作辦公室報告。保密工作辦公室應(yīng)及時向保密管理委員會報告，并啟動應(yīng)急預(yù)案。同時，應(yīng)及時向上級主管部門和相關(guān)監(jiān)管機構(gòu)報告事件情況。（三）應(yīng)急處置措施金融機構(gòu)在處置保密突發(fā)事件時，應(yīng)采取以下措施：1.立即停止可能導(dǎo)致保密信息進一步泄露的行為，采取必要的技術(shù)措施和管理措施，防止信息擴散。2.對泄露的保密信息進行評估，確定泄露的范圍和影響程度。3.及時通知受影響的客戶，采取必要的補救措施，保護客戶的合法權(quán)益。4.配合有關(guān)部門進行調(diào)查和處理，提供必要的協(xié)助和支持。九、監(jiān)督與檢查（一）內(nèi)部監(jiān)督金融機構(gòu)的內(nèi)部審計部門應(yīng)定期對本機構(gòu)的保密工